專利名稱:基于網(wǎng)絡(luò)接入認(rèn)證信息承載協(xié)議的綁定鏈路層信息的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域��,尤其涉及一種基于PANA (Protocol for carrying Authentication for Network Access, 網(wǎng)絡(luò)接入iU正信息承載協(xié)議)協(xié) 議的綁定鏈路層信息的方法��。
背景技術(shù):
PANA協(xié)議是在IP (Internet Protocol,互聯(lián)網(wǎng)絡(luò)協(xié)議)上承載EAP (Extensible Authentication Protocol,可擴(kuò)展的i人i正十辦i義)iU正十辦i義���,來Y吏它 可在任何鏈路上應(yīng)用任意認(rèn)證方法。也就是說�,PANA是一個網(wǎng)絡(luò)層的接入 認(rèn)證協(xié)議����,PANA可應(yīng)用在支持IP的任何鏈路層上�����。PANA運(yùn)行在想要接 入網(wǎng)絡(luò)的客戶端和位于網(wǎng)絡(luò)側(cè)的服務(wù)器之間���。PANA被用來在任何接入網(wǎng)絡(luò) 中使用,不管下層的安全性�����。例如��,可應(yīng)用的網(wǎng)絡(luò)可以是物理上安全的�,或 者是經(jīng)過成功的客戶-網(wǎng)絡(luò)認(rèn)證后使用加密方法來使它安全。
PANA協(xié)議的功能模型如圖1所示����。
PANA客戶端(PANA Client, PaC )位于請求網(wǎng)絡(luò)接入的網(wǎng)絡(luò)節(jié)點上, 負(fù)責(zé)請求網(wǎng)絡(luò)接入并參加使用PANA協(xié)議的認(rèn)證過程�����。
PANA認(rèn)證代理(PANA Authentication Agent����, PAA)是PANA服務(wù)器�����, 它典型的位于接入網(wǎng)絡(luò)中的NAS (Network Access Server,網(wǎng)絡(luò)接入服務(wù)器)
負(fù)責(zé)更新執(zhí)行點(EnforcementPoint����, EP )上的接入控制狀態(tài)�����。
執(zhí)行點負(fù)責(zé)接入控制���,允許授權(quán)的客戶端訪問網(wǎng)絡(luò)��,并阻止其它客戶端 訪問網(wǎng)絡(luò)����。執(zhí)行點從PANA認(rèn)證代理得到授權(quán)客戶端的屬性�����。執(zhí)行點:故建 議但不要求位于PANA客戶端和PANA認(rèn)證代理之間的路徑上���。才丸4亍點和
PANA客戶端之間的交互密鑰的接口可以是IKE (Internet Key Exchange,因 特網(wǎng)密鑰交換)等����。
PANA客戶端和PANA認(rèn)證代理之間運(yùn)行PANA協(xié)議��。PANA客戶端 與執(zhí)行點之間的接口為IKE或者4次握手��。PANA認(rèn)證代理和執(zhí)行點之間的 接口可以是COPS (Common Open Policy Service,公共開放策略服務(wù))�、 S畫P (Simple Network Management Protocol,簡單網(wǎng)絡(luò)管理協(xié)議)、API (Application Programming Interface,應(yīng)用編程接口 )等�。PANA認(rèn)證代理和 認(rèn)證服務(wù)器(Authentication Server, AS )之間的接口可以是RADIUS( Remote Authentication Dial In User Service,遠(yuǎn)程用戶撥號i人證系統(tǒng))、Diameter (直 徑���,是RADIUS協(xié)議的升級版本)�、LDAP ( Light Directory Access Protocol, 輕量級目錄訪問協(xié)議)�、API等。
PANA的認(rèn)證客戶端進(jìn)行網(wǎng)絡(luò)接入的信令流程如圖2所示����。接入網(wǎng)上的 執(zhí)行點允許授權(quán)的客戶端的流量通過,但是對于未授權(quán)的客戶端���,它只允許 有限類型的流量通過(如PANA, DHCP (Dynamic Host Configuration Protocol,動態(tài)主機(jī)分配協(xié)議)����,Router Discovery等),這樣來確保新連接 的客戶端具有最小的業(yè)務(wù)權(quán)限來參加PANA認(rèn)證�����,具體步驟如下
步驟210,在運(yùn)行PANA協(xié)議之前�����,PANA客戶端必須動態(tài)或靜態(tài)的配 置一個IP地址��;
步驟220,未授權(quán)的PANA客戶端通過發(fā)現(xiàn)PANA認(rèn)證代理來發(fā)起 PANA認(rèn)證����,然后PANA認(rèn)證代理與認(rèn)證服務(wù)器交互,進(jìn)行AAA (Authentication�、 Authorization、 Accounting, "i人"i正��、4受斗又����、i己費(fèi))交互;
步驟230,在從認(rèn)證服務(wù)器接收到認(rèn)證和授權(quán)結(jié)果后�����,PANA認(rèn)證代理 通知PANA客戶端它的網(wǎng)絡(luò)接入請求的結(jié)果,如果PANA客戶端被授權(quán)可 訪問網(wǎng)絡(luò)���,PANA認(rèn)證代理也通過另 一個協(xié)議發(fā)送PANA客戶端特定的屬性 給執(zhí)行點,執(zhí)行點使用這個信息來改變對PANA客戶端流量的過濾規(guī)則�;
步驟240,在PANA認(rèn)證之后,PANA客戶端可能需要重新配置它的IP 地址或者附加的IP地址����;
步驟250,如果需要加密訪問控制,則需要在PANA客戶端和執(zhí)行點之間運(yùn)行安全聯(lián)盟協(xié)議�����;
安全聯(lián)盟協(xié)議的交互產(chǎn)生PANA客戶端和執(zhí)行點之間的安全聯(lián)盟�����,來 使能加密數(shù)據(jù)流量保護(hù)��;
步驟260�����,最后,在執(zhí)行點上的過濾規(guī)則允許PANA客戶端和 intranet/Internet之間的凄t才居流通過���。
在運(yùn)行PANA協(xié)議之前����,PANA客戶端必須配置一個IP地址�,在配置 IP地址之后,PANA會話包含下面的幾個階段
握手階段在這一階段中��,發(fā)起新的PANA會話����。
認(rèn)證和授權(quán)階段這一階段在握手階段完成后執(zhí)行,用來在PANA認(rèn) 證代理和PANA客戶端之間執(zhí)行EAP認(rèn)證��。
接入階段在成功的認(rèn)證后4受權(quán)后��,客戶端就可以訪問網(wǎng)絡(luò)�,并通過執(zhí) 行點來收發(fā)IP流量。
重新認(rèn)證階段在接入階段�����,PANA認(rèn)證代理和PANA客戶端都可以發(fā) 起重新iU正。
終止階段PANA客戶端或者PANA認(rèn)證代理可以在任何時間來終止接 入業(yè)務(wù)�����。
PANA協(xié)議實現(xiàn)綁定鏈路層信息的方法是通過綁定PaCI (PANA Client Identifier, PANA客戶端標(biāo)識)和DI (Device Identifier,設(shè)備標(biāo)識)來實現(xiàn) 的�。PaCI是PANA客戶端標(biāo)識,它的一個例子是用戶名����;DI是網(wǎng)絡(luò)使用的 標(biāo)識,它用來執(zhí)行控制和管理客戶端的網(wǎng)絡(luò)接入�。PANA允許各種類型的標(biāo) 識來作為DI�,如IP地址、鏈路層地址����、交換機(jī)的端口號等。PANA認(rèn)證代 理通過成功的PANA消息交互來創(chuàng)建PaCI和相關(guān)的DI之間的綁定�����,這可 以通過在協(xié)議交互期間PANA將PaCI和DI傳遞給PANA i/d正代理來完成��, DI可以通過PANA消息的凈荷或者PANA消息的源地址來承載��,DI和PaCI 之間的綁定可用于網(wǎng)絡(luò)接入控制和計費(fèi)。
從上面可以看出���,PANA協(xié)議實現(xiàn)綁定鏈路層信息的方法是通過PANA 消息的交互來綁定PaCI和DI的���。這種方法只能綁定PANA客戶端和它自 己的鏈路層信息,不能綁定PANA客戶端和它所接入的網(wǎng)絡(luò)設(shè)備的鏈路層
信息��。當(dāng)PANA客戶端和執(zhí)行點之間有中間接入設(shè)備連接時���,這種方法也 不能綁定PANA客戶端和中間接入設(shè)備的鏈路層信息�����,尤其是不能綁定它 所接入的執(zhí)行點設(shè)備的鏈路層信息���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于PANA協(xié)議的綁定鏈路層 信息的方法,可以提高基于PANA協(xié)議的網(wǎng)絡(luò)接入的安全性��。
為了解決上述技術(shù)問題��,本發(fā)明提出一種基于PANA協(xié)議的綁定鏈路 層信息的方法�,包括以下步驟
(a)執(zhí)行點通過PANA客戶端的IP地址得到PANA客戶端所接入的網(wǎng) 絡(luò)設(shè)備的鏈路層信息;
(b ) PANA認(rèn)證代理根據(jù)所述PANA客戶端的IP地址從執(zhí)行點得到 所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息�����;
鏈路層信息的綁定。
進(jìn)一步地���,所述步驟(a)中����,所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備包括 執(zhí)行點設(shè)備�,或者執(zhí)行點設(shè)備和所述PANA客戶端與執(zhí)行點設(shè)備之間的中 間接入設(shè)備。
進(jìn)一步地�,所述步驟(a)中,所述執(zhí)行點通過協(xié)議為所述PANA客戶端 動態(tài)分配IP地址時�,所述執(zhí)行點在分配IP地址的過程中,得到所述PANA 客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息����。
進(jìn)一步地�,所述協(xié)議為動態(tài)主機(jī)分配協(xié)議。
進(jìn)一步地�,所述步驟(a)中,所述PANA客戶端的IP地址為靜態(tài)配置時��, 所述執(zhí)行點根據(jù)接收到的具有所配IP地址的協(xié)議報文��,得到所述PANA客 戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息。
進(jìn)一步地��,所述協(xié)議報文為地址解析協(xié)議報文或者IPv6鄰居發(fā)現(xiàn)協(xié)議 報文��。
進(jìn)一步地�����,所述步驟(b)中����,所述PANA認(rèn)證代理向所述執(zhí)行點請求得 到所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息,所述執(zhí)行點向所述 PANA認(rèn)證代理報告所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息����。
進(jìn)一步地,所述步驟(b)中��,所述執(zhí)行點主動向所述PANA認(rèn)證代理報 告所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息�。
進(jìn)一步地,所述步驟(b)中����,所述PANA認(rèn)證代理-瞼證所述PANA客戶 端和所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息的綁定,或者所述 PANA認(rèn)證代理把包括所述客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息的認(rèn)證 信息發(fā)送給認(rèn)證服務(wù)器����,所述認(rèn)證服務(wù)器驗證所述PANA客戶端和所述 PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息的綁定����。
進(jìn)一步地����,所述PANA認(rèn)證代理或所述認(rèn)證服務(wù)器通過所述PANA客 戶端的IP地址關(guān)聯(lián)所述PANA客戶端和所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè) 備的鏈路層信息。
進(jìn)一步地���,所述步驟(a)是在所述PANA客戶端進(jìn)行網(wǎng)絡(luò)接入過程中 的IP地址配置階段進(jìn)行的�,所述步驟(b)是在所述PANA客戶端進(jìn)行網(wǎng)絡(luò) 接入過程中的握手階段或認(rèn)證和授權(quán)階段進(jìn)行的�,所述步驟(c)是在所述 PANA客戶端進(jìn)行網(wǎng)絡(luò)接入過程中的認(rèn)證和授權(quán)階段進(jìn)行的。
本發(fā)明的一種基于PANA協(xié)議的綁定鏈路層信息的方法����,保證了綁定 PANA客戶端和它所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息,解決了 PANA協(xié)議只能 綁定PANA客戶端和它自己的鏈路層信息的問題����,從而提高了基于PANA 協(xié)議的網(wǎng)絡(luò)接入的安全性���。
圖1是現(xiàn)有技術(shù)的PANA協(xié)議的功能模型圖����; 圖2是現(xiàn)有技術(shù)的PANA協(xié)議的信令流程圖; 圖3是本發(fā)明實施例的網(wǎng)絡(luò)結(jié)構(gòu)圖4是本發(fā)明的基于PANA協(xié)議的綁定鏈路層信息的方法的流程圖�。
具體實施例方式
以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進(jìn)行說明,應(yīng)當(dāng)理解���,此處所描述 的優(yōu)選實施例僅用于說明和解釋本發(fā)明�����,并不用于限定本發(fā)明�。
如圖3所示��,本發(fā)明實施例的網(wǎng)絡(luò)結(jié)構(gòu)由主機(jī)10��、家庭網(wǎng)關(guān)20�����、 DSLAM 30 ( Digital Subscriber Line Access Multiplexer,數(shù)字用戶線接入復(fù)用器)�����、 NAS 40����、 Internet/Intranet 50和AAA服務(wù)器60構(gòu)成���。其中,家庭網(wǎng)關(guān)20具 有PANA客戶端功能���,NAS 40具有PANA認(rèn)證代理和執(zhí)行點功能�,DSLAM 30是家庭網(wǎng)關(guān)20和NAS 40之間的中間接入設(shè)備���,AAA ( Authentication Authorization, Accounting, 認(rèn)證����、授權(quán)����、記費(fèi))服務(wù)器60具有認(rèn)證服務(wù) 器功能。
以下將結(jié)合圖1��、圖2和圖3詳細(xì)描述圖4的詳細(xì)過程��,如圖3所示�����, 基于PANA協(xié)議的綁定鏈路層信息的方法包括以下步驟
步驟S202,執(zhí)行點通過PANA客戶端的IP地址得到它所接入的網(wǎng)絡(luò)設(shè) 備的鏈路層信息��。
根據(jù)本發(fā)明�,PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備包括執(zhí)行點設(shè)備,也包括 PANA客戶端和執(zhí)行點之間的中間接入設(shè)備���。
在本發(fā)明的實施例中��,與PANA客戶端對應(yīng)的設(shè)備是家庭網(wǎng)關(guān)20�,與 執(zhí)行點設(shè)備對應(yīng)的設(shè)備是NAS 40�,與PANA客戶端和執(zhí)行點之間的中間接 入設(shè)備對應(yīng)的設(shè)備是DSLAM 30。也就是說���,家庭網(wǎng)關(guān)20所接入的網(wǎng)絡(luò)設(shè) 備包括NAS 40和DSLAM 30�����。
在此步驟中�����,執(zhí)行點通過PANA客戶端的IP地址得到它所接入的網(wǎng)絡(luò) 設(shè)備的鏈路層信息的方法包括
1 )執(zhí)行點通過協(xié)議動態(tài)分配IP地址給PANA客戶端時����,執(zhí)行點可在分 配IP地址的過程中,得到PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息���。
在本發(fā)明的實施例中�����,當(dāng)NAS 40通過協(xié)議動態(tài)分配IP地址給家庭網(wǎng)關(guān) 20時��,NAS 40可在分配IP地址的過程中�,得到家庭網(wǎng)關(guān)20所接入的網(wǎng)絡(luò) 設(shè)備的鏈路層信息�。也就是得到NAS 40和DSLAM 30的鏈路層信息,如家 庭網(wǎng)關(guān)20在NAS 40和DSLAM 30上的接入VLAN (Virtual Local Area
Network,虛擬局域網(wǎng))信息等�����。這里的動態(tài)分配IP地址的協(xié)議例如可以是 DHCP協(xié)議等���。
2 ) PANA客戶端的IP地址靜態(tài)配置時�����,執(zhí)行點根據(jù)接收到的具有所配 IP地址的協(xié)議報文�����,得到PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息�����。
在本發(fā)明的實施例中�,當(dāng)家庭網(wǎng)關(guān)20的IP地址靜態(tài)配置時����,NAS 40 根據(jù)接收到的具有所配IP地址的協(xié)議報文,得到家庭網(wǎng)關(guān)20所接入的網(wǎng)絡(luò) 設(shè)備的鏈路層信息�����。這里的具有所配IP地址的協(xié)議報文例如可以是ARP (Address Resolution Protocol,地址解析協(xié)議)協(xié)議才艮文和IPv6 (IP Version6,IP版本6 )鄰居發(fā)現(xiàn)協(xié)議報文等�。
上述步驟S202發(fā)生在圖2的步驟210中,即IP地址配置階段���。
步驟S204����, PANA認(rèn)證代理根據(jù)PANA客戶端的IP地址從執(zhí)行點得到 PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息�����。
在此步驟中,PANA認(rèn)證代理根據(jù)PANA客戶端的IP地址從執(zhí)行點得 到PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息的方法包括
1 ) PANA認(rèn)證代理主動向執(zhí)行點請求得到PANA客戶端所接入的網(wǎng)絡(luò) 設(shè)備的鏈路層信息����。
2 )執(zhí)行點主動向PANA認(rèn)證代理報告PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備 的鏈路層信息。
在本發(fā)明的實施例中�����,PANAi人證代理和執(zhí)行點功能都駐留在NAS 40 上�����,所以它們之間的接口可以是內(nèi)部API接口�,不必使用SNMP進(jìn)行交互。 在進(jìn)行PANA會話時�,PANA認(rèn)證代理可主動向執(zhí)行點請求得到PANA客 戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息。
上述步驟S204可以發(fā)生在握手階段���,也可以發(fā)生在認(rèn)證和授權(quán)階段�����。
步驟S206,驗證請求認(rèn)證的PANA客戶端和它所接入的網(wǎng)絡(luò)設(shè)備的鏈 路層信息的綁定���。
在此步驟中�����,驗證請求認(rèn)證的PANA客戶端和它所接入的網(wǎng)絡(luò)設(shè)備的 鏈路層信息的綁定的過程中��,通過PANA客戶端的IP地址來關(guān)聯(lián)請求認(rèn)證 的PANA客戶端和它所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息。
在本發(fā)明的實施例中�����,驗證請求認(rèn)證的家庭網(wǎng)關(guān)20和它所接入的網(wǎng)絡(luò)
設(shè)備的鏈路層信息的綁定的過程中�,通過家庭網(wǎng)關(guān)20的IP地址來關(guān)聯(lián)請求 認(rèn)證的家庭網(wǎng)關(guān)20和它所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息。并將家庭網(wǎng)關(guān)20 的認(rèn)證信息包括它所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息���, 一起傳遞給AAA服務(wù) 器60來進(jìn)行驗證請求認(rèn)證的家庭網(wǎng)關(guān)20和它所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信 息的綁定����。
上述步驟S206發(fā)生在認(rèn)證和授權(quán)階段��。
如上所述��,實現(xiàn)了基于PANA協(xié)議的綁定鏈路層信息的方法�����,可以保 證綁定PANA客戶端和它所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息,解決了 PANA 協(xié)議只能綁定PANA客戶端和它自己的鏈路層信息的問題�,用于提高基于 PANA協(xié)議的網(wǎng)絡(luò)4妻入的安全性。
以上所述僅為本發(fā)明的優(yōu)選實施例而已���,并不用于限制本發(fā)明����,對于本 領(lǐng)域的技術(shù)人員來說����,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和 原則之內(nèi)�,所作的任何修改、等同替換�����、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù) 范圍之內(nèi)。
權(quán)利要求
1����、一種基于網(wǎng)絡(luò)接入認(rèn)證信息承載協(xié)議PANA的綁定鏈路層信息的方法����,其特征在于�,包括以下步驟,(a)執(zhí)行點通過PANA客戶端的IP地址得到PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息���;(b)PANA認(rèn)證代理根據(jù)所述PANA客戶端的IP地址從執(zhí)行點得到所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息��;(c)驗證所述PANA客戶端和所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息的綁定�����。
2、 如權(quán)利要求1所述的方法����,其特征在于,所述步驟(a)中����,所述PANA 客戶端所接入的網(wǎng)絡(luò)設(shè)備包括執(zhí)行點設(shè)備,或者執(zhí)行點設(shè)備和所述PANA 客戶端與執(zhí)行點設(shè)備之間的中間接入設(shè)備�。
3、 如權(quán)利要求l所述的方法�,其特征在于����,所述步驟(a)中��,所述執(zhí)行 點通過協(xié)議為所述PANA客戶端動態(tài)分配IP地址時�,所述執(zhí)行點在分配IP 地址的過程中,得到所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息�。
4、 如權(quán)利要求3所述的方法���,其特征在于�����,所述協(xié)議為動態(tài)主機(jī)分配 協(xié)議�����。
5���、 如權(quán)利要求1所述的方法,其特征在于���,所述步驟(a)中���,所述PANA 客戶端的IP地址為靜態(tài)配置時�,所述執(zhí)行點根據(jù)接收到的具有所配IP地址 的協(xié)議報文�����,得到所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息��。
6����、 如權(quán)利要求5所述的方法,其特征在于��,所述協(xié)議報文為地址解析 協(xié)議報文或者IPv6鄰居發(fā)現(xiàn)協(xié)議l艮文��。
7��、 如權(quán)利要求1所述的方法�,其特征在于���,所述步驟(b)中����,所述PANA 認(rèn)證代理向所述執(zhí)行點請求得到所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈 路層信息,所述執(zhí)行點向所述PANA認(rèn)證代理報告所述PANA客戶端所接 入的網(wǎng)絡(luò)設(shè)備的鏈路層信息���。
8����、 如權(quán)利要求l所述的方法��,其特征在于����,所述步驟(b)中,所述執(zhí)行點主動向所述PANA認(rèn)證代理報告所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的 鏈路層信息���。
9��、 如權(quán)利要求1所述的方法�,其特征在于�����,所述步驟(c)中�,所述PANA 認(rèn)證代理驗證所述PANA客戶端和所述PANA客戶端所接入的網(wǎng)絡(luò)i殳備的 鏈路層信息的綁定,或者所述PANA認(rèn)證代理把包括所述客戶端所接入的 網(wǎng)絡(luò)設(shè)備的鏈路層信息的認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器驗證 所述PANA客戶端和所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息的 綁定��。
10����、 如權(quán)利要求9所述的方法,其特征在于�,所述PANA認(rèn)證代理或所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息。
11�����、如權(quán)利要求l所述的方法�,其特征在于,所述步驟(a)是在所述 PANA客戶端進(jìn)行網(wǎng)絡(luò)接入過程中的IP地址配置階段進(jìn)行的��,所述步驟(b ) 是在所述PANA客戶端進(jìn)行網(wǎng)絡(luò)接入過程中的握手階段或認(rèn)證和授權(quán)階段 進(jìn)行的��,所述步驟(c)是在所述PANA客戶端進(jìn)行網(wǎng)絡(luò)接入過程中的認(rèn)證 和授權(quán)階段進(jìn)行的��。
全文摘要
本發(fā)明公開了一種基于網(wǎng)絡(luò)接入認(rèn)證信息承載協(xié)議PANA的綁定鏈路層信息的方法��,可以提高基于PANA協(xié)議的網(wǎng)絡(luò)接入的安全性���,包括以下步驟(a)執(zhí)行點通過PANA客戶端的IP地址得到PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息;(b)PANA認(rèn)證代理根據(jù)所述PANA客戶端的IP地址從執(zhí)行點得到所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息��;(c)驗證所述PANA客戶端和所述PANA客戶端所接入的網(wǎng)絡(luò)設(shè)備的鏈路層信息的綁定。
文檔編號H04L29/06GK101179570SQ200710108620
公開日2008年5月14日 申請日期2007年6月5日 優(yōu)先權(quán)日2007年6月5日
發(fā)明者曹文利 申請人:中興通訊股份有限公司